هزاران اپلیکیشن اندروید و آی او اس کاربران را در معرض خطر قرار می دهد
این ارقام نشان می دهد که چقدر آسان است که هر کسی بتواند به این اطلاعات شخصی دسترسی پیدا کند
محققان یک شرکت امنیتی تلفن همراه به نام Appthority، هر دو برنامه های تلفن همراه آندروید و iOS را اسکن کرده اند که از پایگاه داده های Firebase برای ذخیره داده های کاربران خود استفاده می کنند. Firebase یک پلتفرم محبوب مبتنی بر ابر برای برنامه های موبایل و وب است. این شرکت توسط گوگل در سال ۲۰۱۴ تاسیس شده است بنابراین این پلتفرم یک پایه کاربری اصلی در میان برخی از توسعه دهندگان برتر Android نیز است.
این شرکت امنیتی بیش از ۲.۷ میلیون برنامه تلفن همراه در هر دو سیستم عامل iOS و Android را بررسی کرده است. محققان دریافتند که ۲۷،۲۲۷ اپلیکیشن اندرویدی و ۱،۲۷۵ برنامه iOS اطلاعات برنامه خود را در سیستم پایگاه داده های خبری Firebase ذخیره می کنند، ۳،۰۴۶ از این اپلکیشن ها داده ها را در ۲،۲۷۱ پایگاه داده غیرقانونی ذخیره می کنند که به معنای واقعی کلمه هر کسی می تواند دسترسی داشته باشد. از این تعداد اپلیکیشن ، ۲،۴۴۶ در سیستم عامل اندروید و ۶۰۰ اپلیکیشن باقی مانده در برنامه های iOS هستند.
در میان تمام این برنامه های آسیب پذیر، ۲.۶ میلیون شناسه کاربر و کلمه عبور در فرمت ساده، ۲۵ میلیون سوابق مکان GPS ذخیره شده، ۵۰ هزار پرونده های معاملات مالی و بیش از ۴.۵ میلیون شناسه کاربری رسانه های اجتماعی دیده می شود. سایر اطلاعاتی که منتشر شد شامل بیش از ۴ میلیون پرونده PHI یعنی اطلاعات و سوابق سلامتی و پزشکی است که شامل چت خصوصی و سوابق تجویزی است.
در کل، بیش از ۱۰۰ میلیون پرونده شخصی که در مجموع بیش از ۱۱۳ گیگابایت اطلاعات است، اطلاعات موجود را در برمی گیرند که این نشان از یک نقص بسیار خطرناک است.جالب اینجاستد که تعداد اپلیکیشنی که از اندروید در بالا ذکر شده است جمعا بیشاز ۶۲۰ میلیون بار دانلود شده است.
و این ارقام نشان می دهد که چقدر آسان است که هر کسی بتواند به این اطلاعات شخصی دسترسی پیدا کند. بر اساس این گزارش، سرورهای آسیب پذیر Firebase توسط فایروال و یا سیستم های احراز هویت محافظت نمی شود. ورود به این پایگاه های داده های غیرمجاز، یک “هکر” به سادگی می تواند با “/.json” با یک نام پایگاه داده خالی به انتهای نام میزبان (به عنوان مثال، “https://appname.firebaseio.com/ .json “)) ورود کند.
محققان خاطر نشان کردند که قبل از انتشار این گزارش با گوگل تماس گرفتند. آنها همچنین گوگل را از لیست کامل برنامه های نا ایمن آگاه کرده اند .این در حالی است که گوگل لیست برنامه های آسیب پذیر را منتشر نکرده است که شامل برنامه هایی در دسته های مختلف از پیام و امور مالی ، سلامتی و مسافرت می باشند.
این گزارش نشان می دهد که انتخاب اپلیکیشن به صرف بودن در گوگل پلی و اپ استور کافی نیست و می بایست تحقیقات بیشتری از روند کاری اپلیکیشن ها کرد.